Halblinge, Drachen und DDoS-Angriffe

Eine heutzutage allzu häufige Einschränkung bei Anwendungen ist das Budget. Zwar steigen die Budgets für die Sicherheit, aber nicht in einem Tempo, das dem strategischen Ansatz gerecht wird, sich für Hacker zu teuer zu machen.

Dieser Ansatz ähnelt dem Halbling-Drache-Prinzip, das besagt:

Wenn Sie sich in der Gesellschaft eines Halblings und eines übellaunigen Drachen befinden, denken Sie daran, dass Sie nicht schneller als der Drache davonlaufen müssen; Sie müssen lediglich schneller als der Halbling davonlaufen.

Die Idee besteht darin, einen Angriff auf die eigene Umgebung zu kostspielig zu machen und den Drachen so zu zwingen, seine hungrigen Augen stattdessen auf Ihren Konkurrenten, den Halbling, zu richten.

Ohne jetzt in die ethische Debatte abzuschweifen, die hier entfacht werden sollte, ist die Idee, das Hacken Ihrer Umgebung zu teuer zu machen, gar nicht so schlecht.

Das Problem besteht darin, dass es für Sie oft zu teuer ist. Der Grund hierfür ist, dass man zur Umsetzung einer solchen Strategie im Allgemeinen einen ganzen Haufen Lösungen kaufen und diese wie eine Art mittelalterlichen Spießrutenlauf hin und her werfen muss, um neue Barrieren zu errichten und Angreifer zu zwingen, diese zu nutzen, um an das zu kommen, was sie wirklich wollen: Ihre Daten. Dies ist für den Angreifer kostspielig, da er beim Versuch, seine Angriffe möglichst weiträumig auszudehnen und so einer Entdeckung zu entgehen, Zeit, Energie und letztlich auch Geld aufwenden muss. Das ist nicht nur für den Angreifer, sondern auch für das Unternehmen kostspielig. Nicht nur in Bezug auf die Lösungen (Capex), sondern auch betrieblich (Opex), da jede Lösung verwaltet, aktualisiert, überwacht und letztendlich skaliert werden muss.

Es ist auch auf links gedreht. Angreifer haben es auf Ihre Daten abgesehen, und dennoch neigen wir dazu, unsere Abwehr- und Schutzmaßnahmen dort aufzubauen, wo die Daten am weitesten entfernt sind, nämlich am Rand des Netzwerks.

Wie also machen Sie es für sie zu teuer, das zu bekommen, was sie wollen, ohne dass es für Sie zu teuer wird, es umzusetzen?

Dafür gibt es kein Patentrezept, aber es gibt einige Möglichkeiten, wie Sie Ihre Kosten niedrig halten und gleichzeitig die Angriffskosten erhöhen können. 

1. Plattformen nutzen

Plattformen basieren auf der Idee, eine gemeinsame Umgebung zu teilen. Sie senken die Kosten auf die gleiche Weise, wie Virtualisierung und Containerisierung die Effizienz der Rechenressourcen erhöhen. Ein ADC kann beispielsweise mit Modulen erweitert werden, um eine breite Palette von Bereitstellungsfunktionen, einschließlich Sicherheit, zu unterstützen. Viele Organisationen verwenden bereits einen ADC, um die Verfügbarkeit mit Lastausgleich sicherzustellen, der möglicherweise die Bereitstellung von WAF und anderen sicherheitsrelevanten Funktionen unterstützen kann. Als ganzheitliche Lösung kann der richtige ADC insgesamt weitaus weniger kosten als die Summe seiner Einzelfunktionen als Punktlösung.

Ebenfalls einer Untersuchung wert sind die Fähigkeiten des Load Balancers selbst. Im Gegensatz zu rudimentärem Lastenausgleich bietet ein ADC im Allgemeinen eine Reihe von sicherheitsbezogenen Reglern und Hebeln, mit denen Angriffe erschwert werden können. SYN-Flood-Erkennung, Cookie-Verschlüsselung, URL-Verschleierung und IP-/Port-Filterung sind häufig als Teil eines Lastausgleichsdienstes verfügbar. Durch die Erhöhung des Schutzes näher an der App wird der Zugriff für Angreifer erschwert.

2. Operationalisieren

Zum Leidwesen einiger und zur Freude anderer gibt es noch immer keine bekannte „God-Box“, die im Alleingang alles bereitstellen kann, was Sie zum Sichern und Skalieren von Anwendungen benötigen. Sie werden mehrere Lösungen benötigen (der Schlüssel liegt darin, die Anzahl der verwendeten Plattformen zu minimieren, siehe oben) und das bedeutet mehrere Konsolen, Verwaltungsparadigmen und wahrscheinlich auch Personal. All dies wird Ihr Budget sprengen.

Durch Operationalisierung, die Automatisierung und Orchestrierung ermöglicht, können Sie die Kosten der Lösungen, die Sie implementieren müssen, im Zaum halten. Sogar Funktionen wie die automatische Skalierung, um Ressourcen zu nutzen, die Sie (wahrscheinlich) bereits haben, um sie zu skalieren und einen Angreifer zu zwingen, mit gleicher Münze zu antworten, können die Angriffskosten erhöhen, während die Kosten für die Verteidigung unter Kontrolle bleiben.

Durch die Operationalisierung (DevOps, SDN, SDDC, SDx, Private Cloud usw.) werden auch Hochrisikoquellen berücksichtigt: menschliches Versagen und fehlende Prozesse. Im letzteren Fall können Sie keinen Prozess automatisieren (das ist übrigens Orchestrierung), der nicht existiert. Und wenn Sie keines haben, sollten Sie sich eines anschaffen. Es stellt sicher, dass die erforderlichen Schritte unternommen werden, um Apps zu sichern und zu skalieren, wenn sie in die Produktion gehen. Menschliches Versagen stellt ein enormes Risiko dar, da es unbeabsichtigt zu Sicherheitslücken führen kann, durch die sich Bösewichte entweder direkt oder während der Ablenkung durch einen volumetrischen DDoS-Angriff heimlich einschleichen können.

3. Cloud als Skalierung

Und wenn eine automatische Skalierung nicht mehr möglich ist oder Ihre Bandbreite überlastet ist, können Sie immer noch auf die Cloud zurückgreifen. Die Cloud als Skalierungselement (oder Cloud Bursting, wenn Sie so wollen) ist eine hervorragende Möglichkeit, Ihnen eine effiziente Verteidigung zu ermöglichen und gleichzeitig die Angriffskosten in die Höhe zu treiben. Durch die Verlagerung von DDoS-Scrubbing und -Schutz während eines Angriffs (oder zu Beginn) in die Cloud können die lokalen Auswirkungen auf das Unternehmen (im Hinblick auf Produktivität und Gewinn) sofort verringert werden, was tatsächlich eine weniger kostspielige Verteidigung bedeutet. Wenn Sie einen Angriff von der Cloud mit ihrer (nahezu) unendlichen Skalierbarkeit und ihren Unmengen an Bandbreite absorbieren lassen, ist das auf lange Sicht für Sie wesentlich kostengünstiger, für den Angreifer jedoch nicht.

4. Sicherheit von innen nach außen

Wie bereits erwähnt, haben es Angreifer im Allgemeinen auf Ihre Daten abgesehen. Das liegt daran, dass Ihre Daten auf dem offenen, zwielichtigen Markt == Geld sind. Konzentrieren Sie sich daher ebenso sehr (wenn nicht sogar mehr) auf die Sicherung Ihrer Daten wie auf Ihren Perimeter. Das bedeutet, dass Sie alle möglichen Tricks und Techniken anwenden, um es einem Angreifer möglichst teuer zu machen, aus seinen Angriffen einen Mehrwert zu ziehen (indem er Daten abgreift). Dies erreichen Sie durch ständige Wachsamkeit und indem Sie nicht nur schützen, was in die App hineingeht, sondern auch, was herauskommt. Das ist Anforderungs- und Antwortschutz.

Die Mehrheit (67 %) der Teilnehmer an unserem „State of Application Delivery“ 2016, die heute eine WAF im Einsatz haben, waren von der Fähigkeit ihrer Organisation überzeugt, einem Angriff auf Anwendungsebene (Request-Response) standzuhalten. Dazu zählen Dinge wie SQLi und XSS, aber auch WebSocket-Sicherheit und Session-Hijacking-Schutz sowie zahlreiche weitere Funktionen, die dafür sorgen, dass es für einen Angreifer sehr teuer wird, an Ihre Daten zu gelangen.

Tatsächlich korrelierte ein einheitlicherer Schutz über alle drei Angriffsflächen (Client, Anforderung und Antwort) mit einer höheren Wahrscheinlichkeit, einem Angriff auf Anwendungsebene standzuhalten. Dies ist keine „Edge“-Funktion, sondern eine app-zentrierte Funktion. Ein Angriff, der näher an der App als am Rand des Netzwerks sitzt und dessen Ziel nicht darin besteht, Netzwerkangriffe zu stoppen, sondern die Angriffe, die tatsächlich Daten extrahieren. Das ist der Wert, nach dem Angreifer suchen, und diesen Wert müssen Sie so teuer machen, dass die Angreifer aufgeben und sich woanders umsehen.

Sicherheit lässt sich nicht billig gestalten. Das gibt es einfach nicht. Es gibt jedoch Möglichkeiten, die Kosten niedrig zu halten und es für den Angreifer teurer zu machen als für Sie, ohne dass Sie zu pleite sind, um Ihre Apps zu sichern. Und wenn Sie es gut machen und Ihre Verteidigung die Angreifer dazu zwingt, zu viele ihrer eigenen Ressourcen (und Geld) aufzubrauchen, ist der Drache möglicherweise einfach zu müde (pleite), um diesen Halbling anzugreifen. Und das gibt den Halblingen die Chance, sich einen Vorsprung bei der eigenen Verteidigung zu verschaffen.